看高手如何黑钓鱼网站
　　某天，我的qq滴滴滴的响了起来。&我被一个钓鱼网站骗了钱，可以帮帮我吗？&
又是一个被钓鱼网站诈骗了的兄弟，发挥下黑客的精神，就去看看吧！
对方把钓鱼的网站发了过来，/dcvail/JS066-21134.shtml呵呵，做的还挺不错的吗
5173的钓鱼站，做的不错，但是直接访问网站根目录/，返回的却是一个目录禁止显示的提示，访问/dcvail/，到来了个西安西拓电气有限公司，晕啊，看来这个钓鱼站还是用二级目录来做的，我真的佩服被骗了的朋友，这种技术的网站也会上当。废话少说，马上就来检测了这个站。
后台很容易就找到了/dcvail/admin/login.asp，默认的用户名密码都不起作用，而且后台没有一点信息可以利用，又绕了一圈，没有什么漏洞可以利用的，就放弃了直接入侵。
一个站无法直接下手就采用旁注。我找了N多个站，看到个CMS系统的内容站，连接都是动态的，也有防注入的功能，但是怎么都觉得用的不是什么很好的程序，往往漏洞就是用感觉出来的，(*^__^*)&。顺手后面加了个/admin，马上就提示我没有登陆，顺便把我转向了管理员的登陆页，登陆页右下角醒目的写着&LeadWit&WS&3.0(ACCESS免费版)&
虽然这种系统我一次没有用过，但是我可以百度么。很快，就在邪八找到了一篇帖子，关于该程序有一个注入漏洞，注入漏洞是adminChannel.asp文件有问题。这个文件在admin文件下的，下面给出adminChannel.asp部分代码看下
dim&ChannelID,AdminID
dim&rs,rsa
ChannelID&=&request(&ChannelID&)
AdminID&=&request(&AdminID&)
Set&rsa&=&LZ8.Execute(&Select&*&from&[&&&AdminTable&&&]&WHERE&id=&&&AdminID&&&&order&by&id&)
Set&rs&=&LZ8.Execute(&Select&*&from&[LZ8_Class]&WHERE&ChannelID=&&ChannelID&&&order&by&RootID,OrderID&)
if&not&rs.bof&and&not&rs.eof&then
do&while&not&rs.eof
两个变量都没有过滤呢~我们可以在URL后加上：/admin/adminChannel.asp?AdminID=1&ChannelID=1，可以直接注入。一不做二不休，马上构造了个注入的地址，放到啊D里跑了起来，当然提示存在注入点咯，不过，管理员表段怎么都猜解不出来，没事，去网上down了这个站程序，研究了下数据库，呵呵，管理员表段是LZ8_Admin，奇怪的表段，没事，在啊D里添加了这个LZ8_Admin，马上就跑出了4个管理员用户密码
人品不错，四个MD5加密的密码解出了一个，能登陆后台就成。
后台还没有仔细的转悠一圈，就发现了这个后台根本不堪一击，上传个改成了jpg的小马，通过数据库备份功能成功的获取了该站的shell。&
有很多朋友看到这里就会说了：那这个钓鱼站肯定就是通过这个站旁注拿下的吧！非也。我进入了webshell，权限很低，上传的aspx大马打不开，wscript.shell也为禁用的状态，转了一圈根本没有办法提权，只有宣布旁注失败。
目光继续回到了钓鱼站的后台，无聊的给它登陆页的admin目录后面加目录，都是些常用的目录，加了个upload回车返回的是&目录不能显示&，我马上来了精神，经验告诉我，在admin目录下的upload文件夹通常是由XX编辑器上传的文件。立刻在admin后面加了个ewebeditor，返回&无权查看&，那就是存在的意思了！要是ewebedit的登陆页面也没有删除就最好了！继续加admin_login.asp，哇~~通红的ewebedit登陆页面一下弹开在我的面前，有戏，默认的用户密码不起作用，好在可以下载数据库解破么！数据库的目录是db/ewebeditor.mdb，不错，数据库没有修改位置，顺利的获取加密的md5密码，cmd5解密也出来的密码jia717，[attach]1111[/attach]
登陆ewebedit，增加样式，加了个文件格式asa，上传小马，成功拿下！！！
对于这种网站，我的做法就是马上废了它，数据都给删除，一个不留，不过又想了下，数据是删除了，谁保证这些人没有备份，刚刚删除马上就又给恢复了怎么办，而且还把漏洞给修复上，那这么多工作不都白费的么？不行，咱们给它继续搞。
再次登陆webshell的时候已经是第二天了，怎么？我的webshell被删除了？一种不详的预感笼罩着我，这么快就被管理员发现了？？幸好我还有一个留在正常文件里的后门，要通过在asp文件后面加参数才可以显示，不过不幸的是这个后门也被删除了，这个管理员倒是挺厉害的嘛，可以发现我的后门，不知道漏洞修补了没有。
再次进去ewebedit，上传文件，这次运行马与以往不同了，显示：禁止运行ASP等活动脚本。晕咯，管理员还通过IIS对上传目录限制了运行啊，上传上去运行不了，麻烦事，无论怎么上传都是无效，昨天的战果就这样没有了么？？？不行，还要继续渗透。
昨天的入侵留下了好的习惯，把整站都打包下载了回来，现在渗透正好用的着。打开了数据库看了下/dcvail/admin/login.asp的登录密码，成功登陆进去，想不到这个里面也有数据库备份功能
测试了下，admin与这个备份功能定义的data文件夹是在同一个目录下，这就好办了，用ewebedit上传图片马，然后用这个后台备份功能转化webshell，我就这样传了个jpg的马，然后数据库备份功能转化了后缀，马成功生成了在/dcvail/admin/databackup/1.asp，访问，结果却还是显示禁止活动脚本运行，难道永远都不可以让马活起来么？答案是否定的，限制活动脚本运行可以对指定的目录设置，但是对于一些新产生的目录就无能为力了，备份功能的备份目录就起了作用了，我定义一个新的文件夹名，相信新的文件夹肯定可以运行这样的活动脚本吧！不出所料，这次我使用了123文件夹为备份的目录，备份功能乖乖的新建立了一个123文件夹，把我的Jpg小马也转化成了asp，呵呵，二次渗透成功。&
顶一下(0) 踩一下(0)
热门标签：&&源码搜搜[中文]，大家一起找最好的开源代码。
&&请提交您认为需要收录的源码网站。
wap钓鱼网站源码QQ.rar - qq钓鱼程序，需要的可以拿去，但不得非法使用-qq fishing program, needed to take that, but not the illegal use of标签：界面开发, GUI Develop&评论：0条
PetPlus2.04-adv.rar - 钓鱼插件,bbsxp2008 第一次上传,不懂啊~~~ 以后多学习吧-Fishing plug-ins, bbsxp2008 From the first time, do not know ah ~ ~ ~ after learning it标签：PHP, Web网页&评论：0条
内附详尽私人家中架设网站服务器教程。)此系统，前台功能强大完美，后台管理操作简单、方便、灵活、快捷(切带自动化管理功能)此免费试用软件为方舟无线互联网站系统(即wap手机网站程序)。本套为[新闻发布+会员+广告投放]系统。标签：ASP, Access&评论：0条
说明：很辛苦才完成的一个手机网站，希望对wap开发者有帮助标签：ASP&评论：0条
移动wap网站集成在线wap模拟器源码一款可以登陆wap模拟器，体验下吧本项目，必须先用VS2008打开，里面是html文件，不要直接打开哦，没用的。用VS2008打开以后，然后通过 Moni/default.html 进入浏览。标签：asp.net&评论：0条
ParadiseBirdWAPsite. - 很辛苦才完成的一个手机网站，希望对wap开发者有帮助-very hard to complete the site a mobile phone, and I hope to WAP developers help标签：ASP/ASPX, WAP develop&评论：0条
帮助企业建立wap网站系统的程序，首页菜单:1)公司简介2)公司新闻4)产品展示5)联系我们6)人才招聘7)信息反馈标签：PHP, mysql&评论：0条
说明：wap在线模拟器可以在电脑上在线访问wap网站页面。 除了部分限制电脑IP访问的网站，一切畅通无阻。再也不用在别人网站上的wap模拟器饱受广告与速度的摧残! 完全模拟wap页面，访问速度比其它的在线模拟器甚至软件模拟器都要快！ 内部代码经过二次优化！直接将内容压缩过访问。 程序简洁小巧，代码可以经过自己修改！标签：ASP&评论：0条
wap在线模拟器可以在电脑上在线访问wap网站页面。除了部分限制电脑IP访问的网站，一切畅通无阻。再也不用在别人网站上的wap模拟器饱受广告与速度的摧残!完全模拟wap页面，访问速度比其它的在线模拟器甚至软件模拟器都要快！内部代码经过二次优化！直接将内容压缩过访问。程序简洁小巧，代码可以经过自己修改！标签：ASP&评论：0条
说明：php版wap手机网站源码(英语)
the best wap scripts from 标签：PHP&评论：0条
功能特点：1、具有wap个人网站所需要的基本栏目；2、后台修改站点信息，方便进行管理；3、本网站的后台管理员只有一个；4、网站程序简单易于asp初学者看懂。恋情wap版 v2.01、在wap1.0的基础上添加了铃声栏目；2、修改了后台程序中的一些错误；3、优化了上传文件中的冗余；4、本网站的后台管理员依然只有一个。用户登录：admin/login.asp用户名：admin密码：admin标签：ASP, Access&评论：0条
说明：wap手机笑话大全源码(无密码保护)
wap手机网站标签：ASP&评论：0条
整合网站图片系统网站和批量上传组件，其主要功能如下：图片系统要求一、 wap前台1、能够分子二级栏目(平行栏目无限分级)，支持栏目排序；2、wap栏目首页功能： 1)可以调用后台参数设置的站点logo,支持jpg\gif等图片格式；标签：ASP, Access&评论：0条
说明：wap网站 ACC数据库cz同步版 可以电脑开的标签：ASP&评论：0条
XHTML_Guidelines_v1_ - wap2.0-xhtml协议，本指南是为Web应用软件开发人员设计的，这些开发人员应全面了解为支持WAP 2.0 markup(即XHTML Mobile Profile (MP) 和WAP CSS 的移动设备创建内容的知识。-wap2.0- xhtml agreement,标签：Others, PHP&评论：0条
精致wap模拟器1.01、自带3套手机界面2、程序代码非常简洁，完全开源，便于二次开发。3、手机界面制作比较方便4、可模拟手机上网效果，超越电脑浏览器界限。步入wap世界5、您可以通过程序快速建立网站，并且通过广告获利6、本程序免费，并且将不断升级标签：ASP&评论：0条
test.Rar - 手机wap版的手机号测试源码，希望对wap开发者有帮助-WAP mobile phone version of the source code, test, and I hope to WAP developers help标签：ASP/ASPX, WAP develop&评论：0条
wapgame.rar - wap Blog,中国人的wap翻版，可以下的。/-WAP, China's WAP version of it. /标签：Web网页, ASP/ASPX&评论：0条
ninesky_wap2.0.rar - yyy wap版的论坛，让您在手机上也会拥有自己的论坛-yyy yyy wap edition of the Forum, on the phone you will have their own forum标签：其他项目, Other systems&评论：0条
说明：可用电脑浏览又可以用手机访问的互动Wap影音单影音系统。这套系统Wap影音系统可以满足现在WAP普及的今天会员用手机上网交流的需求标签：ASP&评论：0条
CopyRight (&)
All Rights Reserved&&>&&>& > 正文
淘宝卖家遭钓鱼大量店长中招（钓鱼后台揭秘）
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
我想说的是，钓鱼页面做的那么差，居然也有人受骗！！！
详细说明：
详细看图解说：本
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&&>&&>&&>&&>&2014最新钓鱼网站后台
2014最新钓鱼网站后台
上传大小：2.16MB
2014最新钓鱼网站制作+源码+教程，有喜欢的拿走，功能强大
综合评分：4.4（30位用户评分）
所需积分：0
下载次数：341
审核通过送C币
创建者：nigelyq
创建者：bg4sop
创建者：huilan_same
课程推荐相关知识库
上传者其他资源上传者专辑
网络技术热门标签
VIP会员动态
您因违反CSDN下载频道规则而被锁定帐户，如有疑问，请联络:!
android服务器底层网络模块的设计方法
所需积分：0
剩余积分：720
您当前C币：0
可兑换下载积分：0
兑换下载分：
兑换失败，您当前C币不够，请先充值C币
消耗C币：0
你当前的下载分为234。
2014最新钓鱼网站后台
会员到期时间：
剩余下载次数：
你还不是VIP会员
开通VIP会员权限，免积分下载
你下载资源过于频繁，请输入验证码
您因违反CSDN下载频道规则而被锁定帐户，如有疑问，请联络:!
若举报审核通过，可奖励20下载分
被举报人：
xzjaixhq123
举报的资源分：
请选择类型
资源无法下载
资源无法使用
标题与实际内容不符
含有危害国家安全内容
含有反动色情等内容
含广告内容
版权问题，侵犯个人或公司的版权
*详细原因：